我试图解决一些有关 SSL 证书及其签名的问题。
我的需要:我需要能够添加(生成?)客户端证书以允许他们使用我的 API。
我的问题:如果更改 java 信任库以使修改可用,似乎需要重新加载 Wildfly。
我的理解:这是问题的错误方法,应该做的是以下内容:
这样,只有我的 CA 证书需要在我的 Java 密钥库上,并且通过 CA 验证链,我的客户端将被允许使用我的服务。
问题 :
keytool
实用程序的情况下完成吗?我想尽可能可以使用 java 来做到这一点,而不是依赖于操作系统。感谢您提供的所有指示。
好的,
因为它可能会帮助其他人,所以我将把我的各种测试帮助我弄清楚。:
据我所知:是的,为什么我不能确定?因为由于我的开发环境以及我无法拥有带有有效域的真正有效证书来测试它的事实,我遇到了一些测试限制。
因此,为了使签名成为可能,他们需要发送 CSR(证书签名请求)和他们的公钥。
keytool
实用程序的情况下完成吗?我想尽可能可以使用 java 来做到这一点,而不是依赖于操作系统。这应该可以使用 Bouncycastle 库来实现。我使用should是因为我没有去实现它,稍后会详细介绍。
我对此仍然不清楚,但似乎证书签名有某种范围可以防止任何人伪造实际的 CA。欢迎任何可以对此提供更多肯定知识的人。
我实际上最终做了什么:
作为我们自己的 CA 会遇到太多障碍,所以我们实际上要做的是要求我们的客户从已知的 CA 获取他们的证书,并将这些 CA 证书添加到我们的信任库中。这与以前的原则相同,但我们将利用实际的 CA 资源,而不是扮演 CA。
希望这可以帮助任何有某种等效要求的人。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句